Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure App Service. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure App Service
| Name (Azure-Portal) |
Beschreibung | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: App Service-Pläne sollten zonenredundant sein | App Service-Pläne können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Wenn die Eigenschaft "zoneRedundant" für einen App Service-Plan auf "falsch" festgelegt ist, ist sie nicht für Zonenredundanz konfiguriert. Diese Richtlinie identifiziert und erzwingt die Konfiguration der Zonenredundanz für App Service-Pläne. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-Vorschau |
| App Service-App-Slots müssen in ein virtuelles Netzwerk eingefügt werden | Durch die Einbindung von App Service-Apps in ein virtuelles Netzwerk werden erweiterte App Service-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten eine größere Kontrolle über Ihre Netzwerksicherheitskonfiguration. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| App Service-App-Slots müssen den Zugriff über öffentliche Netzwerke deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der App Service nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung eines App Service einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://aka.ms/app-service-private-endpoint. | Überwachen, Deaktiviert, Verweigern | 1.0.0 |
| App Service-App-Slots sollten SSH deaktivieren | Mit Azure App Service können Sie eine SSH-Sitzung in einem Container öffnen, der im Dienst ausgeführt wird. Dieses Feature sollte deaktiviert werden, um sicherzustellen, dass SSH nicht versehentlich in App Service-Apps geöffnet bleibt, wodurch das Risiko eines nicht autorisierten Zugriffs verringert wird. Weitere Informationen finden Sie unter: https://aka.ms/app-service-ssh | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| App Service App-Slots sollten das Konfigurationsrouting zu Azure Virtual Network aktivieren | Standardmäßig wird die App-Konfiguration wie das Abrufen von Containerimages und das Einbinden von Inhaltsspeichern nicht über die regionale VNET-Integration weitergeleitet. Legen Sie für API-Versionen vor 2024-11-01 "vnetImagePullEnabled" und "vnetContentShareEnabled" auf "true" fest. Legen Sie für 2024-11-01+ "outboundVnetRouting.imagePullTraffic" und "outboundVnetRouting.contentShareTraffic" auf "true" fest. Weitere Informationen finden Sie unter https://aka.ms/appservice-vnet-configuration-routing. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| App Service-App-Slots sollten die End-to-End-Verschlüsselung aktivieren | Durch die Aktivierung der End-to-End-Verschlüsselung wird der Front-End-Intra-Cluster-Datenverkehr zwischen den App-Service-Front-End-Komponenten und den Arbeitsprozessen, die Anwendungsworkloads ausführen, verschlüsselt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| App Service-App-Slots müssen ausgehenden Nicht-RFC 1918-Datenverkehr zu Azure Virtual Network aktivieren. | Standardmäßig leitet die regionale VNET-Integration nur RFC1918 Datenverkehr in das virtuelle Netzwerk weiter. Legen Sie für API-Versionen vor 2024-11-01 "vnetRouteAllEnabled" auf "true" fest, um den gesamten ausgehenden Datenverkehr in das virtuelle Azure-Netzwerk zu aktivieren. Legen Sie für 2024-11-01+ "outboundVnetRouting.applicationTraffic" auf "true" fest. Dies ermöglicht Netzwerksicherheitsgruppen und benutzerdefinierte Routen für alle ausgehenden Datenverkehr. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Für App Service-App-Slots sollten Clientzertifikate (eingehende Clientzertifikate) aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Für App Service-App-Slots sollten lokale Authentifizierungsmethoden für FTP-Bereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Für App Service App-Slots sollten lokale Authentifizierungsmethoden für SCM-Standortbereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Deaktiviert | 1.0.4 |
| Für App Service-App-Slots muss Remotedebuggen deaktiviert sein. | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Für App Service-App-Slots müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Für App Service-App-Slots sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer App. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Zugriff auf App Service-App-Slots nur über HTTPS gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Überwachen, Deaktiviert, Verweigern | 2.0.0 |
| App Service-App-Slots sollten einen automatisch generierten Domänennamenbezeichnungsbereich bereitstellen | Durch die Bereitstellung eines automatisch generierten Domänennamenbezeichnungsbereichs für Ihre App wird sichergestellt, dass über eine eindeutige URL auf die App zugegriffen werden kann. Weitere Informationen finden Sie unter https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Überwachen, Deaktiviert, Verweigern | 1.0.0 |
| App Service-App-Slots sollten nur FTPS erfordern. | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| App Service App-Slots sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden. | Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, deaktiviert | 1.0.0 |
| App Service-App-Slots müssen die aktuelle „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| App Service-App-Slots müssen eine verwaltete Identität verwenden. | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Deaktiviert | 1.0.0 |
| App Service-App-Slots müssen die aktuelle TLS-Version verwenden. | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für App Service-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. | AuditIfNotExists, Deaktiviert | 1.2.0 |
| App Service-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| App Service-App-Slots, die PHP verwenden, sollten die angegebene ‚PHP-Version‘ verwenden | Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| App Service-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| App Service-Apps müssen in ein virtuelles Netzwerk eingefügt werden | Durch die Einbindung von App Service-Apps in ein virtuelles Netzwerk werden erweiterte App Service-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten eine größere Kontrolle über Ihre Netzwerksicherheitskonfiguration. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Überprüfen, Verweigern, Deaktiviert | 3.2.0 |
| App Service-Apps müssen den Zugriff über öffentliche Netzwerke deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der App Service nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung eines App Service einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://aka.ms/app-service-private-endpoint. | Überwachen, Deaktiviert, Verweigern | 1.1.0 |
| App Service-Apps sollten SSH deaktivieren | Mit Azure App Service können Sie eine SSH-Sitzung in einem Container öffnen, der im Dienst ausgeführt wird. Dieses Feature sollte deaktiviert werden, um sicherzustellen, dass SSH nicht versehentlich in App Service-Apps geöffnet bleibt, wodurch das Risiko eines nicht autorisierten Zugriffs verringert wird. Weitere Informationen finden Sie unter: https://aka.ms/app-service-ssh | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| App Service-Apps sollten das Konfigurationsrouting zu Azure Virtual Network aktivieren | Standardmäßig wird die App-Konfiguration wie das Abrufen von Containerimages und das Einbinden von Inhaltsspeichern nicht über die regionale VNET-Integration weitergeleitet. Legen Sie für API-Versionen vor 2024-11-01 "vnetImagePullEnabled" und "vnetContentShareEnabled" auf "true" fest. Legen Sie für 2024-11-01+ "outboundVnetRouting.imagePullTraffic" und "outboundVnetRouting.contentShareTraffic" auf "true" fest. Weitere Informationen finden Sie unter https://aka.ms/appservice-vnet-configuration-routing. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| App Service-Apps sollten die End-to-End-Verschlüsselung aktivieren | Durch die Aktivierung der End-to-End-Verschlüsselung wird der Front-End-Intra-Cluster-Datenverkehr zwischen den App-Service-Front-End-Komponenten und den Arbeitsprozessen, die Anwendungsworkloads ausführen, verschlüsselt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| App Service-Apps müssen ausgehenden Nicht-RFC 1918-Datenverkehr an Azure Virtual Network aktivieren | Standardmäßig leitet die regionale VNET-Integration nur RFC1918 Datenverkehr in das virtuelle Netzwerk weiter. Legen Sie für API-Versionen vor 2024-11-01 "vnetRouteAllEnabled" auf "true" fest, um den gesamten ausgehenden Datenverkehr in das virtuelle Azure-Netzwerk zu aktivieren. Legen Sie für 2024-11-01+ "outboundVnetRouting.applicationTraffic" auf "true" fest. Dies ermöglicht Netzwerksicherheitsgruppen und benutzerdefinierte Routen für alle ausgehenden Datenverkehr. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Für App Service-Apps muss die Authentifizierung aktiviert sein | Azure App Service-Authentifizierung ist eine Funktion, mit der verhindert werden kann, dass anonyme HTTP-Anfragen die Webanwendung erreichen, oder mit der Anfragen mit Token authentifiziert werden können, bevor sie die Webanwendung erreichen. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Für App Service-Apps sollten lokale Authentifizierungsmethoden für FTP-Bereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Für App Service-Apps sollten lokale Authentifizierungsmethoden für SCM-Standortbereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer App. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Zugriff auf App Service-Apps nur über HTTPS gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Überwachen, Deaktiviert, Verweigern | 4.0.0 |
| App Service-Apps sollten einen automatisch generierten Domänennamenbezeichnungsbereich bereitstellen. | Durch die Bereitstellung eines automatisch generierten Domänennamenbezeichnungsbereichs für Ihre App wird sichergestellt, dass über eine eindeutige URL auf die App zugegriffen werden kann. Weitere Informationen finden Sie unter https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Überwachen, Deaktiviert, Verweigern | 1.0.0 |
| App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| App Service-Apps müssen eine SKU verwenden, die Private Link unterstützt | Bei Verwendung von unterstützten SKUs können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Apps können Sie das Risiko von Datenlecks verringern. Mehr über private Links erfahren Sie hier: https://aka.ms/private-link. | Überprüfen, Verweigern, Deaktiviert | 4.3.0 |
| App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden | Verwenden Sie virtuelle Netzwerkdienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service Dienstendpunkten finden Sie unter https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| App Service-Apps sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden | Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, deaktiviert | 3.0.0 |
| App Service-Apps müssen die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Deaktiviert | 4.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Deaktiviert | 3.0.0 |
| App Service-Apps sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu App Service können Sie das Risiko von Datenlecks verringern. Mehr über private Links erfahren Sie hier: https://aka.ms/private-link. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für App Service-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. | AuditIfNotExists, Deaktiviert | 2.2.0 |
| App Service-Apps, die Java verwenden, müssen eine spezifische „Java-Version“ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| App Service-Apps, die PHP verwenden, müssen die angegebene „PHP-Version“ verwenden | Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 3.2.0 |
| App Service-App, die Python verwenden, müssen die angegebene „Python-Version“ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 4.1.0 |
| Die Apps der App Service-Umgebung sollten nicht über das öffentliche Internet erreichbar sein | Um sicherzustellen, dass Apps, die in einer App Service-Umgebung bereitgestellt werden, nicht über das öffentliche Internet zugänglich sind, sollten Sie die App Service-Umgebung mit einer IP-Adresse im virtuellen Netzwerk bereitstellen. Um die IP-Adresse auf eine IP-Adresse eines virtuellen Netzwerks zu setzen, muss die App Service-Umgebung mit einem internen Lastenausgleich bereitgestellt werden. | Überprüfen, Verweigern, Deaktiviert | 3.0.0 |
| Die App Service-Umgebung sollte mit den stärksten TLS-Verschlüsselungssammlungen konfiguriert werden | Die beiden minimalsten und stärksten Verschlüsselungssammlungen, die für die ordnungsgemäße Funktion der App Service-Umgebung erforderlich sind, lauten: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, deaktiviert | 1.0.0 |
| In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein | Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, deaktiviert | 1.0.1 |
| Für die App Service-Umgebung sollte TLS 1.0 und 1.1 deaktiviert sein | TLS 1.0 und TLS 1.1 sind veraltete Protokolle, die keine Unterstützung für moderne Kryptografiealgorithmen bieten. Die Deaktivierung von eingehendem TLS 1.0- und TLS 1.1-Datenverkehr trägt zum Schutz der Apps in einer App Service-Umgebung bei. | Überprüfen, Verweigern, Deaktiviert | 2.0.1 |
| Konfigurieren Sie App Service-App-Slots, um die lokale Authentifizierung für FTP-Bereitstellungen zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Deaktiviert | 1.0.3 |
| Konfigurieren Sie App Service-App-Slots, um die lokale Authentifizierung für SCM-Standorte zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Deaktiviert | 1.0.3 |
| Konfigurieren von App Service App-Slots zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie für Ihre App Services den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-private-endpoint. | Bearbeiten, Deaktivieren | 1.1.0 |
| App Service-App-Slots konfigurieren, um den Zugriff nur über HTTPS zu gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Bearbeiten, Deaktivieren | 2.0.0 |
| Konfigurieren von App Service-App-Slots zum Deaktivieren des Remotedebuggen | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Deaktiviert | 1.1.0 |
| Konfigurieren von App Service-App-Slots für die Verwendung der aktuellen TLS-Version | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für App Service-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. | DeployIfNotExists, Deaktiviert | 1.3.0 |
| Konfigurieren Sie App Service-Apps, um die lokale Authentifizierung für FTP-Bereitstellungen zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Deaktiviert | 1.0.3 |
| Konfigurieren Sie App Service-Apps, um die lokale Authentifizierung für SCM-Standorte zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Deaktiviert | 1.0.3 |
| App Services-Apps zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre App Services den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-private-endpoint. | Bearbeiten, Deaktivieren | 1.1.0 |
| App Service-Apps konfigurieren, um den Zugriff nur über HTTPS zu gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Bearbeiten, Deaktivieren | 2.0.0 |
| App Service-Apps zum Deaktivieren des Remotedebuggens konfigurieren | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Deaktiviert | 1.0.0 |
| App Service-Apps für die Verwendung der neuesten TLS-Version konfigurieren | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für App Service-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. | DeployIfNotExists, Deaktiviert | 1.2.0 |
| Konfigurieren von Funktions-App-Slots zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie bei Ihren Funktions-Apps den Zugriff über öffentliche Netzwerke, damit sie über das öffentliche Internet nicht zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-private-endpoint. | Bearbeiten, Deaktivieren | 1.2.0 |
| Funktions-App-Slots konfigurieren, damit nur über HTTPS darauf zugegriffen werden kann. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Bearbeiten, Deaktivieren | 2.1.0 |
| Funktions-App-Slots zum Deaktivieren des Remotedebuggen konfigurieren | Für das Remotedebuggen müssen die eingehenden Ports für eine Funktions-App geöffnet sein. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Deaktiviert | 1.2.0 |
| Konfigurieren von Funktions-App-Slots für die Verwendung der aktuellen TLS-Version | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für Funktions-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. | DeployIfNotExists, Deaktiviert | 1.4.0 |
| Konfigurieren von Funktions-Apps zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie bei Ihren Funktions-Apps den Zugriff über öffentliche Netzwerke, damit sie über das öffentliche Internet nicht zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter: https://aka.ms/app-service-private-endpoint. | Bearbeiten, Deaktivieren | 1.2.0 |
| Funktions-Apps konfigurieren, damit nur über HTTPS darauf zugegriffen werden kann. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Bearbeiten, Deaktivieren | 2.1.0 |
| Funktions-Apps zum Deaktivieren des Remotedebuggens konfigurieren | Für das Remotedebuggen müssen bei Function-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Deaktiviert | 1.1.0 |
| Funktions-Apps für die Verwendung der neuesten TLS-Version konfigurieren | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für Funktions-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. | DeployIfNotExists, Deaktiviert | 1.3.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Service (microsoft.web/sites) in Log Analytics | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für App Service (microsoft.web/sites) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App-Dienstumgebungen (microsoft.web/hostingenvironments) auf Event Hub | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für App Service-Umgebungen (microsoft.web/hostingenvironments) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Service-Umgebungen (microsoft.web/hostingenvironments) in Log Analytics | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für App Service-Umgebungen (microsoft.web/hostingenvironments) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Service-Umgebungen (microsoft.web/hostingenvironments) in Speicher | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für App Service-Umgebungen (microsoft.web/hostingenvironments) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für die Funktions-App (microsoft.web/sites) in Log Analytics | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für die Funktions-App (microsoft.web/sites) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Funktions-App-Slots müssen den öffentlichen Netzwerkzugriff deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass die Funktions-App über das öffentliche Internet nicht zugänglich ist. Sie können die Offenlegung einer Funktions-App einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://aka.ms/app-service-private-endpoint. | Überwachen, Deaktiviert, Verweigern | 1.1.0 |
| Funktions-App-Slots sollten das Konfigurationsrouting an Azure Virtual Network aktivieren | Standardmäßig wird die App-Konfiguration wie das Abrufen von Containerimages und das Einbinden von Inhaltsspeichern nicht über die regionale VNET-Integration weitergeleitet. Legen Sie für API-Versionen vor 2024-11-01 "vnetImagePullEnabled" und "vnetContentShareEnabled" auf "true" fest. Legen Sie für 2024-11-01+ "outboundVnetRouting.imagePullTraffic" und "outboundVnetRouting.contentShareTraffic" auf "true" fest. Nicht für Flex-/Verbrauchspläne. Weitere Informationen finden Sie hier: https://aka.ms/appservice-vnet-configuration-routing. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| Funktions-App-Slots sollten die End-to-End-Verschlüsselung aktivieren | Durch die Aktivierung der End-to-End-Verschlüsselung wird der Front-End-Intra-Cluster-Datenverkehr zwischen den App-Service-Front-End-Komponenten und den Arbeitsprozessen, die Anwendungsworkloads ausführen, verschlüsselt. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Funktions-App-Slots sollten ausgehenden Datenverkehr, der nicht RFC 1918 entspricht, zum Azure Virtual Network ermöglichen | Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Legen Sie für API-Versionen vor 2024-11-01 "vnetRouteAllEnabled" auf "true" fest, um den gesamten ausgehenden Datenverkehr in das virtuelle Azure-Netzwerk zu aktivieren. Legen Sie für API Version 2024-11-01 und höher "outboundVnetRouting.applicationTraffic" auf "true" fest. Beachten Sie, dass diese Richtlinie nur auf Funktions-Apps angewendet werden sollte, die nicht auf den Hostingplänen "Flex Consumption" oder "Consumption" ausgeführt werden. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| Für Funktions-App-Slots sollten Clientzertifikate (eingehende Clientzertifikate) aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Für Funktions-App-Slots muss Remotedebuggen deaktiviert sein. | Für das Remotedebuggen müssen bei Function-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Für Funktions-App-Slots sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Auf Funktions-App-Slots sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Überwachen, Deaktiviert, Verweigern | 2.1.0 |
| Funktions-App-Slots sollten einen automatisch generierten Bereich für Domänennamenbezeichnungen bereitstellen | Durch die Bereitstellung eines automatisch generierten Domänennamenbezeichnungsbereichs für Ihre App wird sichergestellt, dass über eine eindeutige URL auf die App zugegriffen werden kann. Weitere Informationen finden Sie unter https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Überwachen, Deaktiviert, Verweigern | 1.1.0 |
| Funktions-App-Slots sollten nur FTPS erfordern. | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Funktions-App-Slots sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden. | Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, deaktiviert | 1.1.0 |
| Funktions-App-Slots müssen die aktuelle „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Funktions-App-Slots müssen die aktuelle TLS-Version verwenden. | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für Funktions-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. | AuditIfNotExists, Deaktiviert | 1.3.0 |
| Funktions-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Funktions-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Funktions-Apps müssen den öffentlichen Netzwerkzugriff deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass die Funktions-App über das öffentliche Internet nicht zugänglich ist. Sie können die Offenlegung einer Funktions-App einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://aka.ms/app-service-private-endpoint. | Überwachen, Deaktiviert, Verweigern | 1.1.0 |
| Funktions-Apps sollten das Konfigurationsrouting an das virtuelle Azure-Netzwerk aktivieren | Standardmäßig wird die App-Konfiguration wie das Abrufen von Containerimages und das Einbinden von Inhaltsspeichern nicht über die regionale VNET-Integration weitergeleitet. Legen Sie für API-Versionen vor 2024-11-01 "vnetImagePullEnabled" und "vnetContentShareEnabled" auf "true" fest. Legen Sie für 2024-11-01+ "outboundVnetRouting.imagePullTraffic" und "outboundVnetRouting.contentShareTraffic" auf "true" fest. Nicht für Flex-/Verbrauchspläne. Weitere Informationen finden Sie hier: https://aka.ms/appservice-vnet-configuration-routing. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| Funktions-Apps sollten die End-to-End-Verschlüsselung aktivieren | Durch die Aktivierung der End-to-End-Verschlüsselung wird der Front-End-Intra-Cluster-Datenverkehr zwischen den App-Service-Front-End-Komponenten und den Arbeitsprozessen, die Anwendungsworkloads ausführen, verschlüsselt. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Funktions-Apps sollten ausgehenden Nicht-RFC-1918-Datenverkehr an Azure Virtual Network aktivieren | Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Legen Sie für API-Versionen vor 2024-11-01 "vnetRouteAllEnabled" auf "true" fest, um den gesamten ausgehenden Datenverkehr in das virtuelle Azure-Netzwerk zu aktivieren. Legen Sie für API Version 2024-11-01 und höher "outboundVnetRouting.applicationTraffic" auf "true" fest. Beachten Sie, dass diese Richtlinie nur auf Funktions-Apps angewendet werden sollte, die nicht auf den Hostingplänen "Flex Consumption" oder "Consumption" ausgeführt werden. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| Für Funktions-Apps muss die Authentifizierung aktiviert sein. | Die Azure App Service-Authentifizierung ist ein Feature, mit dem Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder mit dem Sie Anforderungen mit Token authentifizieren können, bevor sie die Funktions-App erreichen. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Für Funktions-Apps sollte das Remote-Debuggen deaktiviert sein | Für das Remotedebuggen müssen bei Function-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Zugriff auf Funktions-Apps nur über HTTPS gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Überwachen, Deaktiviert, Verweigern | 5.1.0 |
| Funktions-Apps sollten einen bereich mit automatisch generierten Domänennamenbezeichnungen bereitstellen. | Durch die Bereitstellung eines automatisch generierten Domänennamenbezeichnungsbereichs für Ihre App wird sichergestellt, dass über eine eindeutige URL auf die App zugegriffen werden kann. Weitere Informationen finden Sie unter https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Überwachen, Deaktiviert, Verweigern | 1.1.0 |
| Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Funktions-Apps müssen eine Azure-Dateifreigabe für das zugehörige Inhaltsverzeichnis verwenden | Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, deaktiviert | 3.1.0 |
| Funktions-Apps müssen die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Deaktiviert | 4.1.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für Funktions-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. | AuditIfNotExists, Deaktiviert | 2.3.0 |
| Funktions-Apps, die Java verwenden, müssen die angegebene „Java-Version“ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Funktions-Apps, die Python verwenden, müssen die angegebene „Python-Version“ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Deaktiviert | 4.1.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.